Virus sui CD musicali Sony, tutte le informazioni

Da qualche giorno la Sony-BMG è nell'occhio del ciclone perchè accusata dalla comunità di programmatori di aver volontariamente installato nei propri CD musicali un virus che consente l'accesso ai computer degli utenti che ne fanno uso.

In particolare, è stato rilevato che il software DRM - Digital Rights Management utilizzato dalla Sony per proteggere i diritti di copyright utilizza un rootkit, una tecnologia in genere utilizzata dagli hackers per entrare nei computers di ignari utenti.

Un rootkit è "una raccolta di tool che un intruso installa sulla macchina vittima dopo essersi guadagnato un accesso non autorizzato alla stessa. Lo scopo principale di un rootkit è identico a quello di un trojan, cioè quello di permettere all'intruso (o agli intrusi) di poter ritornare al sistema compromesso senza essere scoperti..." (definizione Wikipedia).

La notizia per quanto eclatante e sconcertante, è del tutto veritiera.

Ecco com'è andata

Mark Russinov, della Sysinternals si sorprese mentre, testando la ultima versione di RootkitRevealer che cerca spyware installati dentro un computer, scoprì un'applicazione nascosta in una directory invisibile nella quale venivano memorizzati dati privati. Attraverso un dumping di contenuto nella tabella dei servizi di windows utilizzando il software LikeKd scoprì chiamate esterne al Kernel di Windows appartenenti al driver Aries.sys nella cartella nascosta $sys$filesystem, tutto già evidenziato da RootKitRevealer.

Ovviamente Mark, incuriosito, entrò nella cartella nascosta utilizzando il DOS (il modo più semplice per accedere a cartelle nascoste in windows) e ne elaborò il contenuto con un disassembler per renderlo comprensibile.

Scoprì sconcertato che il driver Aries.sys aveva la funzione di nascondere alla vista del proprietario del computer tutte le cartelle il cui nome iniziava con $sys$. Fece una prova creando un semplice file di testo con il notepad e chiamandolo con un nome analogo, e dopo averlo salvato scomparve a riprova di quanto appena scoperto.

Al fine di risalire agli autori del driver sospetto cerco di interpretare la firma del driver stesso utilizzando un programma chiamato Signcheck, e scoprì che quel driver era stato creato da una società chiamata First 4 Internet. Dopo essersi collegato al sito internet della società in questione cercò informazioni in merito a questo driver senza successo, ma scoprì che la First 4 Internet era proprietaria di una tecnologia di protezione di copyright chiamata XCP, e che questa tecnologia veniva venduta a molte compagnie discografiche, compresa la Sony.

In particolare la tecnologia XCP era utilizzata da Sony per implementare sui suoi CD il software di protezione chiamato DRM.

Il nome DRM fece venire in mente a Mark che giorni prima acquistò un CD del gruppo Van Zant Brothers sulla cui custodia era presente una etichetta nera riportante la sigla DRM come sistema di protezione contro le copie illegali. Il cerchio si stava chiudendo; prese il CD e lo inseri nel lettore del computer tenendo sotto controllo il carico della CPU e l'elenco dei processi. Dopo aver accettato le condizioni di utilizzo cliccando su "si" (evidentemente un trucco per avviare il rootkit) notò che la CPU aveva un carico enorme ed era presente un processo chiamato "Plug and Play Device Manager" (ovviamente un nome per mascherare il virus in azione) che attivava il programma eseguibile una volta ogni 2 secondi in cerca di informazioni da salvare nella directory nascosta. Tolto il CD, tutto questo spariva completamente.

Mark inoltre tentò di verificare se era possibile disinstallare il software in questione ma non era presente alcuna procedura di disinstallazione. Tentò quindi di rimuovere manualmente la chiave del registro di configurazione DRMServer che avviava il virus, ma scoprì che a causa di un bug l'operazione poteva comportare la perdita del sistema.

Conclusione

La Sony utilizza un sistema di protezione di copyright per limitare il numero di copie dei propri CD chiamato DRM. DRM utilizza la tecnologia XCP di che installa un rootkit sul computer (un virus vero e proprio) che memorizza dati privati degli utenti in maniera nascosta e permette intrusioni non autorizzate nel computer.

Questa tecnologia è stata acquistata da Sony presso società First 4 Internet ed installata volontariamente su CD originali venduti agli utenti. Non è possibile rimuovere il software, se si tenta una rimozione manuale si può perdere il sistema.

La Sony, dopo la scoperta della malefatta, ha rilasciato un tool per disinstallare lo spyware, ma questo tool sembra aprire nuove falle sui computer infetti. Wired riporta che sarebbero più di mezzo milione i computer infetti dal virus Sony, compresi sistemi governativi e militari.

Tutto questo è stato accertato e verificato. La Sony-BMG sta ritirando le copie dei CD in questione dal mercato dopo la scoperta. Qui potete trovare un elenco di CD in cui è stata accetata sino ad ora la presenza del virus. La lista potrebbe incrementarsi ulteriormente nei prossimi giorni.

Tags: sicurezza  rootkit  sony  virus 

Daniele Di Gregorio
(Riferimenti: Marfisa.org)